后疫情时代医疗卫生网络安全白皮书.pdf

医疗卫生网络安全 白皮书 后疫情时代 序 行业也在同步大面积创新应用过程中；新技术带来的网络信息安全有 区别于传统的信息安全，有开放化、互联网化、云化、数据化的新四 大挑战。 对于合规性的安全层面，本报告的编委会成员均来自多年在医疗卫生 行业从事安全运营、安全咨询等服务的一线专家，从基础的合规等级 保护建设，到行业监管建议，再到智慧安全运维，均给出实践中摸索 出的针对建议与实践案例。 病树前头万木春，最美人间四月天！ 网络信息安全作为医疗信息化的重要保障，今后将更加有效支撑医疗 资源整合、系统互联互通、健康数据共享，智慧医疗共建、互联网医 疗加速、生态化行业有序，乃至更进一步惠及百姓健康、经济发展、 社会治理。 是为序！ 二二年四月十七日 今年1月5日18:48，我在微信朋友圈发出：办公室繁忙工作间隙，因 为专业身份而对一直关心的第三故乡武汉的疫情写几句；1、有关信息 表明，应该是一种新的冠状病毒，且与SARS、BAT冠状病毒同源性 都较高 过去的四个月，全国上下，众志成城，与时间赛跑，让世界一次次见 证中国速度、中国规模、中国效率！ 过去的20年，是信息科技与通信技术发展最快的20年，也是我国从信 息、通讯科技的落后者到跟随者，再逐渐实现弯道超车的20年。与此 对应，我国各级医院的信息化应用意识和水平，也一直在快速提升。 我清楚记得，2001年1月2日到杭州市拱墅区卫生局担任局领导，主抓 的第一件事就是“升级全区所有医院信息系统，实现接入医保”。 业内人士一般认为，我国医疗信息化大致可以归纳为三个阶段：即 HIS（医院信息系统）建设阶段、CIS（临床信息系统建设阶段）和数 据整合阶段。伴随着近二十年的医院医疗改革创新，我国医疗信息化 总体上第一阶段已经走完，目前基本处于第二阶段；部分发达地区和 先进医院，已激情满怀迈入第三阶段。 近期出台的与疫情防控相关政策中，“医疗信息化”内容频频出现。 国家卫建委连续发布“加强信息化支撑新型冠状病毒感染的肺炎疫情 防控工作的通知”和“在疫情防控中做好互联网诊疗咨询服务工作的 通知”，要求体制内外医疗机构大力开展互联网诊疗服务；国务院印 发关于开展线上服务进一步加强湖北疫情防控工作的通知，提出 加强远程医疗服务、推进人工智能服务等要求。今年3月27日，我应 邀参加省发改委主办的“浙江省公共卫生领域补齐短板专家座谈会” 时，与会领导和专家都对我提出的“后疫情时代医疗行业需要十分重 视网络信息安全保障的更大挑战”表示十分赞同。 对于传统的安全层面，本报告基于“新冠肺炎”疫情期间全国医疗卫 生行业网站安全抽样监测，总结归纳Top5的高危漏洞；同时，分析主 要攻击方式与类型；后疫情期间，将会持续监测，进行实时分析并输 出报告，全力支持全国医疗卫生健康系统最终打赢抗疫阻击战。 对于新型的安全层面，以云计算、大数据、物联网、移动互联、人工 智能为代表的新一代信息技术日渐深入城市农村的生产与生活，医疗 24 - 38 Contents 目录 06 - 13 14 - 17 18 - 23 医疗卫生行业网络信息安全现状 2019年12月以来，新型冠状病毒感染肺炎疫情在全国蔓延。国家卫生健康委员会为贯彻落实党中央、国务 院关于新型冠状病毒感染的肺炎疫情防控工作的总体部署，充分发挥信息化在辅助疫情研判、创新诊疗模 式、提升服务效率等方面的支撑作用，在总结各地典型做法的基础上，制定出台了关于加强信息化支撑 新型冠状病毒感染的肺炎疫情防控工作的通知(以下简称通知)国卫办规划函2020100号。其中 在第五部分12条中具体内容如下： “加强网络信息安全工作，以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，畅通信息收集发布渠道，保 障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件，为疫情防控工作提供可靠支撑。”随 着我国新型冠状病毒感染肺炎疫情逐步得到控制，社会对医疗卫生行业的信息化建设所起到的成效有目共 睹，同时暴露出我国医疗体系中的一些短板，相信国家会推动医疗、医药领域的完善发展，这一领域有望 出现大幅增长之势。一些细分领域，例如医疗信息化建设、“互联网”医疗等发展机遇可期。 2020年3月5日，中共中央国务院关于深化医疗保障制度改革的意见（以下简称意见）发布，意 见提出我国未来5年10年医疗改革的目标和任务。医疗信息化建设有望提速，意见出台的新意在于 “高起点推进标准化和信息化建设”和“建立管用高效的医保支付机制”。 意见提出，高起点推进标准化和信息化建设。统一医疗保障业务标准和技术标准，建立全国统一、高 效、兼容、便捷、安全的医疗保障信息系统，实现全国医疗保障信息互联互通，加强数据有序共享。2003 年SARS之后医疗信息化行业迎来一轮建设高峰，政策对医疗事业高度重视。2003 年 4 月，卫生部发布 全国卫生信息化发展纲要 2003-2010 年。该文件从建设内容、标准体系，到预算体系、阶段目标、 考核机制等方方面面对医疗信息化建设进行了统筹性的规划，是行业发展的纲领性文件。自 2003 年后， 我国院内信息化、公共卫生、区域医疗信息化迎来一轮建设高峰。医疗服务信息化是国际发展趋势，从政 策的推出频率和力度来看，未来 23 年医疗信息化加速将是不可逆转的趋势。相比于欧美等发达国家，我 国医疗机构信息化建设起步较晚，但是近年来国家政策支持力度加大。“十三五”将医疗卫生信息化纳入 其中作为网络安全和信息化建设的重点。 医疗卫生行业网络信息安全建议 行业实践案例 2 3 4 1 “新冠肺炎”疫情期间全国医疗卫生行业网站安全抽样监测 疫情当前，共克时艰。面对新型冠状病毒疫情，安恒信息 风暴中心第一时间做出响应，抽取医疗卫生行业1500余个 网站，就2020年1月1日2020年02月21日时间段的网 络安全状态，进行实时分析并输出报告，全力支持全国医 疗卫生系统抗击本次疫情。 经统计分析发现： （1）在可用性方面，89.87%的重点医疗卫生行业的网站 和系统可提供稳定服务，3.70%的网站出现了2小时以上的 断网情况； （2）在1500余家医疗网络系统中，存在网络安全风险漏 洞的网站占比约10%，高危漏洞占比最高，约占风险漏洞 总数的67.94%，其中跨站脚本成主要高危漏洞；存在高危 安全事件105起，暗链为普遍攻击事件； （3）重点医疗卫生行业的网站和系统总计接受8.03亿次 访问，总计受到2843.71万次攻击，恶意user-agents占比 较高，成主要攻击类型。 （一）可用性分析 可用性：88%以上网站可正常打开 疫情期间，医疗卫生行业的网站承担着重要的信息传播作 用，能否保证这些网站能被全国各地、各个运营商网络的 人民群众快速、准确地访问，关系到政府的公信力和社会 的稳定。 安恒信息利用分布全球的上百个监测节点，对1500多个医 疗卫生行业网站进行实时主动监控，掌握网站运行情况， 及时发现网站访问慢、无法访问、DNS错误解析等问题。 经过监测发现，89.87%的网站不存在断网现象，有3.70%的 网站出现了2小时以上的断网情况；通过站点响应码分析， 88.72%的网站均可正常打开，其余站点响应码存在异常。 断网时长分布 站点响应码分布 数据统计来自：安恒信息风暴中心 数据统计来自：安恒信息风暴中心 未发现断网 89.87% 1-2小时 6.43% 2小时以上 3.70% 200-400 （响应正常的网站） 89.87% 400-500 （资源不存在的网站） 3.38% 500-600 （服务端异常的网站） 1.64% 其他 6.26% 07 1 “新冠肺炎”疫情期间全国医 疗卫生行业网站安全抽样监测 在所有可访问的网站中，绝大部分网站表现良好，61.45% 网站的响应时间在100ms以内，19.96%网站的响应时间在 100-200ms之间，只有2.41%的响应时间达到了1s以上。以 下是3家国家级重点卫生单位，在部分地区三个运营商线 路下的网站访问情况，总体表现良好： 某中心 控制访问耗时（单位:毫秒） 电信 联通 移动 0 200 400 600 800 1000 德州 东营 鄂尔多斯 杭州 呼和浩特 济南 济宁 莱芜 临沂 宁波 日照 泰安 威海 潍坊 西安 烟台 枣庄 淄博 某中心 控制访问耗时（单位:毫秒） 电信 联通 移动 某中心 控制访问耗时（单位:毫秒） 0 200 400 600 800 1000 德州 东营 鄂尔多斯 杭州 呼和浩特 济南 济宁 莱芜 临沂 宁波 日照 泰安 威海 潍坊 西安 烟台 枣庄 淄博 0 200 400 600 800 1000 德州 东营 鄂尔多斯 杭州 呼和浩特 济南 济宁 莱芜 临沂 宁波 日照 泰安 威海 潍坊 西安 烟台 枣庄 淄博 电信 联通 移动 0908 （二）漏洞分布 10%网站存在漏洞，105起高危安全事件 2020年1月1日2020年2月21日，安恒信息风暴中心监 测发现在1500余家医疗网络系统中，存在网络安全风险漏 洞约150余个，存在高危安全事件105起。 漏洞风险 疫情期间，安恒信息风暴中心监测发现在1500余家医疗网 络系统中，存在网络安全风险漏洞约150余个，其中高危 漏洞占比最高，约67.94%；其次是低危漏洞，占比约 31.30%；中危漏洞占比约0.76%。通过进一步对高危漏洞 进行深入分析，我们发现医疗卫生行业网站和系统中，排 行top5的高危漏洞是跨站脚本、框架注入、链接注入、宽 字符集跨站脚本和发现Apache Tomcat examples目录。 1) 高危漏洞top1：跨站脚本 主要危害：获取其他用户Cookie中的敏感数据、屏蔽页面 特定信息、伪造页面信息、拒绝服务攻击、突破外网内网 不同安全设置、与其它漏洞结合，修改系统设置，查看系 统文件，执行系统命令等。 2) 高危漏洞top2：框架注入 主要危害：恶意篡改网页内容、网页挂马。 3) 高危漏洞top3：链接注入 主要危害：获取其他用户Cookie中的敏感数据、屏蔽页面 特定信息、伪造页面信息、拒绝服务攻击、突破外网内网 不同安全设置。 4) 高危漏洞top4：宽字符集跨站脚本 主要危害：获取其他用户Cookie中的敏感数据、屏蔽页面 特定信息、伪造页面信息、拒绝服务攻击、突破外网内网 不同安全设置、与其它漏洞结合，修改系统设置，查看系 统文件，执行系统命令等。 5) 高危漏洞top5： 发现Apache Tomcat examples目录 主要危害：未经授权状况下操作数据库中的数据、恶意篡 改网页内容、私自添加系统帐号或者是数据库使用者帐号、 网页挂马、与其它漏洞结合，修改系统设置，查看系统文 件，执行系统命令等。 安恒风暴中心监测发现在1500余家医疗行业的网站和系统 中，存在高危安全事件105起。通过进一步分析得出：医 疗行业的网站和系统中主要存在暗链2828起、坏链152起、 敏感内容112起、外链6起。 （三）攻击事件 2020年1月1日2020年2月21日期间，风暴中心防护的重点 医疗类网站和系统总计接受5.03亿次访问，总计受到1843.71 万次攻击，恶意user-agents占比较高，成主要攻击类型。 风暴中心防护的重点医疗类网站/系统，在最近2月内总计 接受5.03亿次访问，每周的访问量平均在5500万次左右， 最高访问量出现在2020-01-20至2020-01-26期间，也是新 型冠状病毒肺炎引起全国人民高度关注的时期。 从国际访问源看，主要是来自中国的访问IP占比约 95.82%，其次是美国、法国、日本、南非和德国；从国 内访问源看，主要是来自浙江、广东、北京、江苏的IP， 这四个省份的占比约在90%。 风暴中心防护的重点医疗类网站和系统，在最近2月内总 计受到1843.71万次攻击。在2019年12月期间，攻击次数几 乎稳定在平均每周140万次；从迈入2020年开始，特别是 在2020年开年的第一周，攻击数据极速上升达到了356.31 万次，其后2020年1月一直保持在200万次/周。 春节疫情期间 重点网站访问量统计 访问量 5,521.05 5,438.61 4,926.05 4,817.96 4,456.85 6,104.51 6,275.09 6,086.02 6,719.19 2019.12.02 - 2019.12.08 2019.12.09 - 2019.12.15 2019.12.16 - 2019.12.22 2019.12.23 - 2019.12.29 2019.12.30 - 2019.01.05 2019.01.06 - 2019.01.12 2019.01.13 - 2019.01.19 2019.01.20 - 2019.01.26 2019.01.27 - 2019.01.30 重点国际访问源 重点国内访问源 美国 3.29% 德国 0.21% 法国 0.42% 日本 0.23% 南非 0.02% 中国 95.82% 浙江 37.95% 山西 7.46% 广东 18.48% 上海 6.11% 安徽 2.32% 山东 2.11% 北京 11.84% 江苏 13.73% 155.83 162.03 123.74 152.77 201.99 356.31 225.76 273.77 197.48 2019.12.02 - 2019.12.08 2019.12.09 - 2019.12.15 2019.12.16 - 2019.12.22 2019.12.23 - 2019.12.29 2019.12.30 - 2019.01.05 2019.01.06 - 2019.01.12 2019.01.13 - 2019.01.19 2019.01.20 - 2019.01.26 2019.01.27 - 2019.01.30 数据统计来自：安恒信息风暴中心 单位：万次 春节疫情期间 重点网站访问量统计 单位：万次 攻击量 数据统计来自：安恒信息风暴中心 1110 接下来，安恒信息风暴中心对最近2月的攻击数据做了24 小时节点剖析，我们发现在5:00-12:00期间，攻击趋势 整体较为平稳，基本处于平均65万/次的水准，这期间 9:00出现峰谷值。在13:00-0:00期间，攻击者对重要医 疗行业的网站和系统发起的攻击较多，数据波动较大，整 体呈现出2小时/周期的频率，其中13:00、16:00、19:00 出现明显的高峰值。 恶意user-agents、命令注入攻击、SQL注入攻击、协议违 规、漏洞防护、疑似跨站攻击、文件限制、SQL盲注攻击 、跨站脚本攻击和一句话Webshell等攻击类型，成为抗疫 期间主要攻击类型。 以发展的眼光来看,网络安全是攻击方与防御方之间的动态 博弈,新的攻击手段不断诞生,防御方法也不断升级。但是 由于网络安全攻防双方的信息不对称,往往导致防御方难以 预测攻击方将在何时、何处、以何种手段发起攻击。因此, 防御方经常处于被动地位,防御升级会滞后于新的攻击。解 决这个问题的根本方法在于消除信息不对称,这需要联合具 备公共互联网观测能力的机构,以公共互联网安全观测和安 全情报挖掘为基础,内外协同构建安全防御体系,从而构筑 防护范围更为广泛的有效防御联动网络。 经安恒信息风暴中心攻击溯源分析，就全球攻击局势，由 中国地区发起的攻击最高，占比约94.19%，其次是美国、 菲律宾、日本等地区；就中国攻击局势，主要发起攻击的 区域集中在沿海地区，如京广江浙沪，而具体的城市又以 北京、汕头、南通、佛山、杭州、上海为主。 第一时间节点 攻击数据 10 20 30 40 50 60 70 80 90 100 110 0 86.77 92.97 58.85 83.21 66.02 99.90 96.86 75.83 0:00 2:00 4:00 6:00 8:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 广东 29.58% 江苏 20.81% 北京 15.27% 浙江 11.91% 香港 4.86% 上海 4.73% 福建 3.48% 山东 3.33% 新疆 3.08% 安徽 2.94% 攻击源所在省份 攻击源所在国家 中国 94.19% 美国 4.22% 菲律宾 0.73% 日本 0.26% 南非 0.23% 波兰 0.12% 荷兰 0.10% 印度 0.06% 法国 0.04% 韩国 0.04% 1312 单位：万次 数据统计来自：安恒信息风暴中心 伴随国内“疫情”状况得到控制，防控的主要关注点变成“输 入性病例”，但在医疗卫生信息化建设，以及网络信息安 全建设中，美国以及部分欧洲国家还是走在前列。当前全 球信息化进程已进入全面渗透阶段,医疗卫生行业作为关乎 国计民生的重要领域,是信息时代极力突破和改善的重点。 从20世纪90年代开始，许多国家积极推动基于电子健康档 案、以医疗信息交换为具体任务的区域医疗卫生信息化， 如“欧洲电子健康行动计划”和美国的国家卫生信息网络等。 与此同时,频发的医疗大数据泄露、医疗系统瘫痪等安全事 件逐渐引发人们对医疗卫生行业信息化的安全思考。 我国网络信息安全建设伴随医疗信息化建设的节奏同步推 进，目前信息化建设已步入智慧医疗建设阶段, 电子病历、 预约诊疗、智能导诊、电子支付等网络信息技术在健康医 疗便捷普惠、医疗资源压力释放、医疗资源优化配置、数 据信息开放共享等方面发挥了重要作用。近几年，伴随着 互联网的发展和政府的重视，也取得了一定的进展。 国内医疗卫生行业信息化发展与 安全保障四大挑战 随着信息化新技术的不断发展与国内居民在自身健康需求 关注度的逐渐提升，国内各级医疗行政管理机构、公共卫 生管理机构、以及以医院为主的各级医疗服务机构为了提 升我国居民医疗健康的管理与服务水平，通过信息化手段 例如远程诊疗、移动诊疗、医疗物联网的方式拓展了各类 医疗信息化的应用场景，互联网医院的开展，也改变了传 统线下就诊的服务模式，云计算、大数据的不断深化应用 也让医疗信息化不再受传统IT服务架构的桎梏，医疗数据 的价值进一步得到提升，上述内容使得我国医疗信息化出 现明显的开放化、互联化、云化、数据化特征，而在这背 后也存在着亟待解决的一些安全风险与问题。 首先是开放化与互联化，我国越来越多的公立医院在国家 卫健委的指导下开展了医院智慧服务评估、电子病历应用 分级评估与标准化的信息化建设工作，在医院运营模式上 也逐步开展了医联体或医共体的区域医疗服务模式，在这 样的大环境下，医院加强了各类互联网挂号及在线诊疗、 慢病管理相关业务应用的建设，医院间的数据交互更是成 为了开展分级诊疗、远程会诊等业务协同的基本需求，打 破了医疗行业原有相对封闭的应用及数据使用环境。在医 院的线下与线上诊疗服务中，更多的智能自助服务终端、 移动设备终端、医疗物联网终端加入到了诊疗服务管理流 程当中，通过有线网络、无线网络、物联网络的方式相互 连通依赖并提供各项服务，在拓展了医疗管理抓手的同时 也造成了不小的安全风险，不安全的数据使用及共享方式、 不安全的医疗设备与物联网终端设备，都会给医院带来很 大的运营风险，轻则造成经济名誉损失，重则威胁人们的 生命安全。 其次是云化，云计算已经成为了各个行业在进行IT服务架 构选择时的一般首选，公有云能够快速敏捷的提供 SaaSPaaSIaaS化服务，使得用户在降低拥有成本的情况 下快速发布业务，私有云更是医疗行业用户的主要建设方 式，其灵活的可扩展性、高可用性、资源高利用率特性都 使得医疗行业应用系统更方便的进行部署、升级与扩容改 造，医疗行业用户更可以在两种云计算方式中根据PACS大 容量场景、数字化应用场景、大数据AI场景中灵活的选择 适合的云服务提供方式，在使用云计算方式大规模替代传 统物理IT服务架构的同时，其平台自身的安全性（包括镜 像安全、资源隔离）、租户业务应用数据的安全性，在云 化之后也成为了主要的问题之一，由于传统的软硬件安全 能力对云计算的基础适配能力不足，导致医疗行业的云上 业务安全成为了我们亟待解决的问题之一。 最后是数据化，医疗行业内各级医院、区域卫生信息平台 拥有大量的医疗卫生信息系统及数据，其往往记录着关于 居民的各类个人基础信息、以及电子病历及电子健康档案 等敏感信息，同时也记录着关于医院处方、科研等重要医 院运营管理数据，而且随着大数据技术在医疗行业的应用， 这些基础数据不断被进行二次汇总及大数据分析，分析结 果往往用于临床诊断以及公共卫生决策，其价值较原始数 据又有了更高的提升。医院间、监管机构、第三方应用对 数据的交换及使用的普及也促进了医疗数据的共享。在医 疗数据价值凸显的背后医疗行业数据泄露事件却频频发 生，大量的病人数据、处方数据通过非正常渠道方式流通 到医疗产业、黑色产业的各个链条，数据倒卖行为、非法 统方行为屡禁不止，如果在医疗行业数据安全方面不加以 重视，将给我国居民、医疗行业乃至国家社会带来非常严 重的不良影响。 15 2 医疗卫生行业网络信息安全现状 国内医疗卫生行业的外部威胁形 势观测 医疗行业近年成为了黑色产业关注的主要对象，2017年爆 发的勒索病毒，据统计有29%发生在医疗行业，而医疗行 业与其他行业有所不同，其医疗信息系统之间往往存在连 带性质，其中任何一个环节如果出现问题，对医院正常开 展诊疗服务都会造成不同程度的影响，例如叫号系统，看 似这个系统不太关键，但是如果叫号系统出现故障，医院 的门诊业务将会受到极大的影响，而且一旦勒索病毒感染 关键应用业务或数据库服务器，其加密行为将会导致核心 业务系统不可用甚至严重的造成数据的不可逆损毁与丢失 ，给医院的运营带来灾难性的后果。与勒索蠕虫类似，挖 矿病毒也同样在医院网络环境中肆虐，其危害性表面看起 来没有勒索病毒严重，但是其隐蔽性的特点在不断消耗着 医院信息系统的计算资源，加上医院信息系统繁杂，信息 中心管理人员往往很难注意到挖矿病毒的存在，导致病毒 逐渐啃噬着医院信息系统，可能到最后计算资源消耗殆尽 出现系统连续性影响才被重视。另外随着智慧医疗、互联 网医疗概念的普及，医院开展的各项业务触手越来越长， 其业务系统从院内服务逐步向个人终端、互联网以及先关 机构覆盖，但是同时暴露的攻击面也越来越大，不规范的 应用开发导致的漏洞越来越多，例如应用程序中包含的第 三方组件可能原生存在漏洞、对输入数据不进行格式内容 校验、对个人信息数据的采集不符合国家规定标准等，但 是这些应用又承载着患者、医生、医院的重要敏感数据， 一旦被不法分子利用漏洞进行进一步的渗透及破坏，会造 成严重的数据泄露事件发生。另一方面，漏洞并非全部是 多么高深的漏洞发现和利用技巧，而是相关人员缺乏安全 基本意识造成，例如直接通过端口映射的方式在互联网发 布关键服务、启用了不使用的系统服务、弱口令、由于业 务敏感疏于打补丁等也是医疗行业存在大范围外部攻击包 露面的主要原因。如果说勒索挖矿病毒与漏洞利用攻击是 黑产链条趋利的原因所致，那么医疗行业还面临着APT这 一强劲对手，不论从医疗数据相关市场层面还是国家战略 层面，医疗数据属于目前国家级别的重要战略资源，是掌 握着国家居民健康状况的命脉，我们的居民健康数据、基 因数据、医疗科研数据都面临着极大的泄露风险，一旦被 不法分子或者敌对势力进行渗透窃取，会对我国社会造成 严重的不良影响。因此如何发现APT攻击的各类漏洞利用 及隐蔽渗透、钓鱼行为并进行阻止，也成为了医疗行业网 络信息安全的一个主要话题。 国内医疗卫生行业的内部安全管 理难题 在面临各类外部威胁的同时，医疗行业也面临着各类内部 管理问题，虽然按照等级保护、以及各项医院信息化建设 标准要求建立了初步的纵深防护体系，但是在实际医疗行 业安全运营角度下仍然存在一些安全管理上面的难题。 首先是缺乏体系化的合规能力建设，医疗行业用户的网络 安全建设较为松散，没有形成完整的统一安全体系，在各 层威胁与攻击面的识别上面还有不少漏洞，目前在网络安 全检测与防护能力上都缺少基本的合规能力满足，例如终 端上只部署了单机版的杀毒软件且覆盖不全，应用安全只 使用防火墙进行基本的访问控制，数据安全更是属于裸奔 ，针对不同的公共医疗数据、医疗科研数据、个人敏感数 据场景没有制定基本的防护措施。同时在安全管理制度上 ，由于缺乏单独安全管理制度、数据安全管理制度等专项 策略规程以及安全专岗人员能力和数量问题，导致由于非 技术类安全问题时有发生，上述各类原因导致医院安全管 理人员无法有效开展以网络安全和核心的运营工作。 第二点是IT资产繁杂，医院场景下不同于传统办公场景， 除了医生护士站以及服务器办公终端、打印机外，还拥有 大量的智能自助服务终端、移动设备、医疗物联网设备， 可谓设备种类多、数量多，管理起来非常复杂，而且目前 大多数智能物联网设备、医疗设备多是基于定制操作系统 以及开源第三方组件进行开发，其自身可能携带漏洞或者 弱点入网，也给医院网络及其他相关系统、设备带来了风 险，传统的SOC使用SNMP和日志收集的方式对全网设备 进行管理，这样对于哑终端、智能物联网设备由一定的管 理盲区，对传统设备也只能做到简单的汇总数据管理。 第三点是高级威胁发现能力弱，之前提到由于医疗行业数 据价值高，不法分子也将关注点放在了以提供医疗服务为 主，数据集中且真实程度高的医院，使用APT等攻击手段 长期潜伏在医院数据中心。高级持续性威胁的特点是：目 的性非常强，攻击目标明确，持续时间长，不达目的不罢 休，攻击方法经过巧妙地构造，高级的攻击者们往往会利 用社会工程学的方法或利用技术手段对被动式防御进行躲 避。而传统的安全技术手段大多是利用已知攻击的特征对 行为数据进行简单的模式匹配，只关注单次行为的识别和 判断，并没有对未知网络行为、文件的检测手段，也缺乏 长期的潜伏式攻击行为链进行有效分析。因此对于高级持 续性威胁，无论是在安全威胁的检测、发现还是响应、溯 源等方面都存在严重不足。 第四点是安全能力与安全数据分散，院网络承载的业务越 来越复杂，各种审计信息、安全措施的告警信息独立存放 ，缺少基于攻击者与安全视角的统一安全管理与分析。基 于单一视角的安全管理员往往面对的是海量的安全设备告 警，无法快速准确发现安全问题并且及时准确掌握网络系 统的整体安全态势。在这种情况下，投入了大量资金建设 的安全防御体系也成了摆设，同时各级安全能力设备系统 无法有效联动，各自为战的情况下只能通过管理员逐一排 查安全设备与日志并进行手工的配置处理，很难有效地对 1716 紧急网络安全事件进行合理及时的处置。 最后是缺乏统一高效的安全运营运维能力，医疗行业用户 针对业务系统缺乏周期性及实时性的安全评估，针对威胁 预警、安全事件研判、应急响应及安全管理决策，缺乏可 提供技术支撑的有效数据与实施专家。同时尚未建立成熟 的信息安全人才队伍，无法开展持续可靠的安全运营工作 ，如果过只是通过传统的远程桌面和表单记录运维工作结 果，将会带来不小的工作量与运维控制中造成各类恶意、 误操作安全风险。 国内医疗卫生行业网络信息安全 典型事件 近年来针对医院等医疗系统的网络安全风险和网络攻击一 直处于活跃状态且呈现持续上升态势，其中，在我国多地 医院持续检测出勒索病毒，有些医院出现患者信息被盗等 情况。2018年全国三甲医院中，有247家医院检出了勒索 病毒，被勒索病毒攻击的操作系统主要以Windows 7为主 Windows 10次之，以及停止更新的Windows XP。 网络安全等级保护制度进入2.0 时代 面对新的要求，新的挑战，网络安全等级保护制度进入 2.0时代，内涵丰富和措施完善，进一步明确网络定级及 评审，备案及审核，等级评测，安全建设整改，自查等工 作要求；增加了风险评估等与网络安全密切相关的措施纳 入等级保护制度并加以实施。 医疗行业合规面临问题 1) 计算环境安全 弱口令：网络设备、安全设备、操作系统、数据库等存在 空口令和弱口令账户； 系统补丁漏打:互联网直接能够访问到的网络设备、安全设 备、操作系统、数据库等，存在高危端口开放； 校检机制缺失：由于校检机制缺失导致的应用系统存在如 SQL注入、跨站脚本、上传漏洞等漏洞； 应用安全漏洞：应用系统所使用的环境、框架、组件等存 在可被利用的高风险漏洞； 防恶意代码软件缺失：操作系统未安装防恶意代码软件， 未进行统一管理。 2) 数据安全 明文传输重要数据：用户鉴别信息、个人敏感信息数据、 重要业务数据等以明文方式在不可控网络中传输；用户鉴 别信息、个人敏感信息数据、重要业务数据等以明文方式 存储，且无其他有效保护措施； 数据备份措施缺失：未提供任何数据备份措施，一旦遭受 数据破坏，无法进行数据恢复； 存在单点故障：未采用热冗余技术提高系统的可用性，核 心处理节点存在单点故障。 3)个人信息保护 违规采集存储个人信息：在未授权情况下，或超范围采集 、存储用户个人隐私信息； 违规访问使用个人信息：未授权情况下将用户信息提交给 第三方处理，未脱敏的情况下用于其他业务用途，未严格 控制个人信息查询以及导出权限。 4) 网络架构 设备业务处理能力不足：核心网络设备性能无法满足高峰 期需求，存在设备宕机导致业务中断隐患； 未划分不同网络区域：未按照不同网络的功能、重要程度 进行网络区域划分。 网络单链路：网络链路为单链路，核心网络节点、核心网 络设备或关键计算设备无冗余设计。 5) 通信传输 无通信完整性保护：数据在网络层传输无完整性保护措施。 6) 边界防护 无线网络接入未限制：内部核心网络与无线网络互联，且 之间无任何管控措施。 7) 入侵防范 未检测网络攻击行为：关键网络节点（如互联网边界处、 核心服务器区与其他内部网络区域边界处）未采取任何防 护措施，无法检测、阻止或限制互联网或从内部发起的攻 击行为。 8) 恶意代码和垃圾邮件防范 无恶意代码检测措施：主机和网络层均无任何恶意代码检 测和清除措施的，无法对来自互联网的恶意代码攻击、病 毒等进行检测和拦截。 9) 安全审计 无安全审计措施：在网络边界、重要网络节点无任何安全 审计措施，无法对重要的用户行为和重要安全事件进行日 志审计。 10) 系统管理 1906 3 医疗卫生行业网络信息安全建议 运行监控措施缺失：无任何系统监测措施，发生故障时难 以及时对故障进行定位和处理。 11) 审计管理 日志存储不满足要求：相关设备日志留存时长不满足网络 安全法相关要求。 12) 集中管控 安全事件发现处置措施缺失：未部署相关安全设备，识别 并告警网络中发生的安全事件（网络攻击事件、恶意代码 传播事件等）。 安全建议 安全防范对策的思考 挖掘自身需求原动力-借助国家管理外驱力-依靠专业服务 支撑力-形成协同一致持久力。 定级备案梳理：合理开展重要业务系统、新业务系统的定 级备案工作； 安全技术防护：在等保建设中采用新技术新手段，加强安 全技术防护、安全态势感知等能力建设，重点防范特种木 马或新型网络攻击； 日常运维加强：加强日常安全运维，引入安全设备、技术 手段，提升安全管理和运维效率； 主动防御加强：加强风险分析和主动防御能力，完善医院 网络安全建设短板，从而降低安全风险，提高信息系统健 壮性； 安全服务采用：适当选择安全厂商提供的安全服务，弥补 运营单位专业安全技术人员缺失的问题，降低因网络安全 事件而导致业务应用中断和管理成本增加的风险。 建立结合高质量威胁情报的大数 据分析及态势感知防御能力 层出不穷的网络安全案件表明，原有的单纯以等保合规为 目标的安全建设已经很难防御当前面临的勒索病毒等高级 威胁；同时，监管机构仅通过漏洞通告等传统手段，也难 以实现对下辖单位的安全威胁进行感知和及时预警。要提 高监管机构的预警能力，建议通过建立结合高质量威胁情 报的大数据分析及态势感知防御能力，以及安全分析团队， 建设态势感知与预警平台。 当前，医疗卫生行业网络安全工作针对局部信息系统的被 动性、应急性安全保障，需要向网络空间安全整体规划， 主动积极防御转变，以应对日益严峻的安全形式。根据中 央网信办制定的关键信息基础设施安全保护条例（征求 意见稿），医疗卫生行业信息化建设作为国家关键信息 基础设施的重要组成部分，面临着严峻的网络安全形式， 需加强网络安全监测、感知和预警工作。医疗卫生行业网 络安全态势感知系统可采取分布建设、数据集成、信息分 享、逐步完善的建设思路开展建设，在条件成熟的医疗机 构建立微观动态感知系统，构建区域态势感知平台，逐步 完善医疗卫生行业宏观态势感知。 医疗卫生行业部门多、医院多、资产多、问题多，有多少资 产不清楚，只有备案资产清单，还有一些没有备案私自发布 的网站和系统，出现问题难以快速定位，有些资产没有联系 人。对于建立医疗卫生行业关键信息基础设施态势感知能力 需满足SaaS化服务，依靠高质量威胁情报，行业资产一键梳 理，监管目标覆盖系统、设备、终端，网站漏洞、安全事件、 违法与不良信息、主机漏洞一网打尽，而在复杂信息系统环 境中，存在大量异构多样化数据需利用大数据技术实现，全 网流量处理、异构日志集成、核心数据安全分析、办公应用 安全威胁挖掘等智能安全威胁挖掘分析与预警管控能力。 应用安全层面 随着互联网+医疗的发展，越来越多的医院借助 Web、患 者APP、第三方医疗服务平台等形式，提供网上预约挂号、 网上缴费、网上查 询报告等多项线上医疗服务。更便利的 是，第三方医疗服务平台还可同时为多家医院提供线上挂 号预约、体检预约以及医生咨询等服务。传统网络层安全 防护措施和防御体系在安全管理中相当重要，但在面临数 据被泄露的安全问题中，应用安全的防护能力更加重要。 一种基于风险评估模型及“事前+事中+事后”的安全理念的 结合传统网络层防护措施的新型应用安全解决方案，将有 效降低应用安全风险和出现被泄露信息的风险。 风险评估与加固层面 威胁一个信息系统的风险可能来自不同的层面，从网络层、 系统层到应用层，都有可能形成对信息系统直接或间接的 威胁。通过风险评估对整个信息系统进行有效地安全评估， 发现信息系统技术与管理方面存在的威胁。通过专业安全 团队的加固，减少或降低威胁对系统造成的影响，避免因 存在的威胁造成的信息泄密影响。 事前安全防范层面 当前绝大多数外网业务系统缺少必备的Web安全和数据库 安全的评估工具，难以实施事前的风险评估。专业的安全 产品需要有效的安全策略才能发挥应有的功能，而事前的 安全评估则显得尤为重要。外网业务系统业务系统最重要 的资产集中在Web应用层和数据库系统，因此长期有效的 保障外网业务系统的安全，安全运维人员应有必备的安全 评估工具及技术实力。 事中安全防护层面 安全的信息系统需要涉及物理层、网络层、主机层、应用 层方方面面的安全防御措施。目前绝大多数的外网业务系 统基本上把信息系统的相关主机托管至IDC机房，根据IDC 的不同等级分别具备了物理层安全和网络层安全。但外网 业务系统尚缺少有力的安全防御措施，例如专业的远程安 全接入主机的VPN，网络防火墙，Web应用防火墙等安全 设施，应切实建设相应的安全防御措施，提高系统的抗风 险能力。 事后安全审计层面 外网业务系统核心数据库存储有大量的用户信息，以及大 量的有价值的其它信息资产。如果处理不当，敏感的数据 库信息被窃取将会导致极大的信誉危机，对外网业务系统 造成重大影响。本项目中应部署专业的数据库审计系统， 实现对数据库访问的详细记录、监测访问行为的合规性， 针对违规操作、异常访问等及时发出告警，同时可通过与 应用层关联审计发现前端的请求与后端的数据库操作关联 性，争取将安全风险控制在最小的范围之内。 2120 2322 数据安全层面 数据安全对每个单位来说尤其重要，数据在广域网线路上 传输， 很难保证在传输过程中不被非法窃取和篡改。拥有 先进技术的黑客或一些工业间谍会通过一些手段，设法在 线路上做些手脚，获得在网上传输的数据信息，造成的泄 密对用户来说是决不允许的。 1. 数据可用性风险 静态存储数据的可用性问题:关键数据的存储设备自身是否 可靠，设备是否有充分的冗余措施，如果因存储设备物理 损坏或其他原